CRL(Certificate Revocation List)란?

CRL(Certificate Revocation List)란?

인증서 폐기 목록으로 현재 사용중인 인증서가 만료된 건지 정상인지를 판단 할 수 있는 신뢰 할 수 있는 인증서 폐기 목록

CRL의 무결성 검증 

HTTPS로 접속을 시도한 후 클라이언트는 인증서에 기록된 CRL URL에서 CRL을 다운로드 받아 인증서의 폐기여부를 확인한다.

만약 인증서가 폐기되지 않았다면 인증서의 만료와 관련된 무결성이 검증 된것으로 한다.

CRL(Certificate Revocation List) 단점

클라이언트에서 CRL을 모두 다운로드 받아 확인해야 하는 단점이 있다. 그렇기 때문에 처리시간이 매우 느리며 CA기관에서 상기 항목을 계속 갱신해서 클라이언트 또한 주기적으로 갱신하여 확인해야 한다.

CRL 동작방식

- HTTP또는 LDAP를 이용, 인증서를 통해 교부받은 URL을 통해 CRL을 요청

- CA는 요청을 받은 이후 CRL을 응답

- 클라이언트는 CRL 정보를 파싱하고 현재 접속하려는 사이트의 인증서가 CRL에 포함되어 있는지 점검(CRL에는 만료 인증서에 대한 시리얼 정보가 포함되어 있으며, 체크하려는 인증서의 시리얼이 CRL에 포함되어 있는지 확인)

즉 CRL은 인증서 폐지내역을 블랙리스트로 관리